Uso de las API de evento de auditoría
Los puntos finales REST de eventos de auditoría de dominios de identidad permiten obtener logs de auditoría que abarquen eventos, cambios o acciones significativos. Con estas API, puede integrar toda la información de seguridad y la gestión de eventos (SIEM), el análisis de comportamiento de usuarios y entidades (UEBA) y el agente de seguridad de acceso a la nube (CASB) para sondear los datos de auditoría.
Los dominios de identidad AuditEvents y determinadas plantillas de informes de las API de Reports dejarán de devolver nuevos datos después del 15 de diciembre de 2024. En su lugar, puede utilizar el servicio OCI Audit para obtener estos datos. Para ver los anuncios de cambio de servicio de IAM, consulte los anuncios de cambio de servicio de IAM.
Los eventos de auditoría permiten revisar las acciones realizadas por los miembros de la organización mediante los detalles proporcionados por los logs de auditoría, como quién realizó la acción y cuál fue la acción. Los dominios de identidad son el punto central de control de todas las actividades que se realizan en el sistema. Genera datos de auditoría en respuesta a todas las operaciones de administrador y usuario final, como inicio de sesión de usuario, acceso a la aplicación, restablecimiento de contraseña, actualización de perfil de usuario, operaciones CRUD en usuarios, grupo, aplicaciones, etc.
Las fechas y horas relacionadas con eventos de auditoría utilizan el formato de hora universal coordinada (UTC): AAAA-MM-DDThh:mm:ss.mscZ. Por ejemplo, 2022-03-24T10:24:24.022Z.
Se pueden generar informes completos a partir de muchas actividades de administrador y usuario, como las del lado izquierdo del diagrama. En la parte derecha se muestran ejemplos de la actividad histórica del usuario que puede capturar y las estadísticas y análisis que puede generar mediante la importación de datos en herramientas de análisis.
Ejemplos de auditoría
Hay ejemplos de auditoría disponibles para ayudarle a ponerse al día rápidamente. Después de importar la recopilación, escriba "audit" en el filtro para encontrar todas las solicitudes de auditoría. Descargue la recopilación de ejemplos de casos de uso de autenticación de dominios de identidad y el archivo de variables globales de la carpeta idcs-rest-clients dentro del repositorio idm-samples GitHub y, a continuación, impórtelos en Postman.
Eventos de auditoría de dominios de identidad
En esta tabla se proporcionan ID de eventos de algunos de los eventos más importantes de los dominios de identidad.
| Categoría de Eventos | evento | Identificador del Evento |
|---|---|---|
|
Conexión Única |
Conexiones de usuario correctas |
sso.session.create.success
|
|
Conexión Única |
Fallo de Conexión de Usuario |
sso.authentication.failure
|
|
Eventos de Acceso a la Aplicación |
Acceso Correcto a la Aplicación |
sso.app.access.success
|
|
Eventos de Acceso a la Aplicación |
Fallo de acceso a la aplicación |
sso.app.access.failure
|
|
Autenticación multifactor |
Autenticación de paso a paso para el usuario |
sso.auth.factor.initiated
|
|
Autenticación multifactor |
ByPass Creación de código |
sso.bypasscode.create.success
|
|
Autenticación multifactor |
ByPass Eliminación de código |
sso.bypasscode.delete.success
|
|
Autoservicio |
El registro automático del usuario se ha realizado correctamente |
admin.me.register.success
|
|
Solicitud de acceso de autoservicio |
Solicitud de acceso correcta |
admin.myrequest.create.success
|
|
Notificaciones |
Entrega de notificación correcta |
notification.delivery.success
|
|
Notificaciones |
Fallo de Entrega de Notificación |
notification.delivery.failure
|
|
Sincronización del puente de identidades |
Sincronización de puente de ID correcta |
idbridge.sync.success
|
|
Sincronización del puente de identidades |
Fallo de sincronización de puente de ID |
idbridge.sync.failure
|
|
Contraseña olvidada/restablecida |
El restablecimiento de la contraseña se ha realizado correctamente |
admin.me.password.reset.success
|
|
Reinicio de la contraseña iniciada por el administrador |
El restablecimiento de la contraseña se ha realizado correctamente |
admin.user.password.reset.success
|
|
Cambiar Contraseña |
Cambio de contraseña correcto |
admin.me.password.change.success
|
|
Cambiar Contraseña |
Fallo al cambiar la contraseña |
admin.me.password.change.failure
|
|
Operaciones CRUD de usuario |
Creación de Usuario Correcta |
admin.user.create.success
|
|
Operaciones CRUD de usuario |
Activación de usuario correcta |
admin.user.activated.success
|
|
Operaciones CRUD de usuario |
El usuario se ha actualizado correctamente |
admin.user.update.success
|
|
Operaciones CRUD de usuario |
Eliminación de usuario correcta |
admin.user.delete.success
|
|
Agrupar operaciones CRUD |
Creación de Grupo Correcta |
admin.group.create.success
|
|
Agrupar operaciones CRUD |
Error al actualizar el grupo |
admin.group.update.success
|
|
Agrupar operaciones CRUD |
Supresión de grupo correcta |
admin.group.delete.success
|
|
Agrupar operaciones CRUD |
Asignación de afiliación de grupo |
admin.group.add.member.success
|
|
Agrupar operaciones CRUD |
Eliminación de miembros de grupo |
admin.group.remove.member.success
|
|
Operaciones CRUD de Aplicación |
Creación de la aplicación |
admin.app.create.success
|
|
Operaciones CRUD de Aplicación |
Actualización de la Aplicación |
admin.app.update.success
|
|
Operaciones CRUD de Aplicación |
Supresión de la Aplicación |
admin.app.delete.success
|
|
Provisionamiento de Usuarios |
Asignación de usuario correcta |
admin.account.create.success
|
|
Provisionamiento de Usuarios |
Aprovisionamiento de usuario incorrecto |
admin.account.delete.success
|
Recursos de eventos
En la siguiente tabla, se describen los recursos de eventos cruciales.
| Recurso del evento | Descripción |
|---|---|
|
eventID |
ID de evento según lo definido por los componentes de dominios de identidad |
|
actorName |
Nombre de usuario (nombre de conexión) del contexto de seguridad |
|
actorDisplayName |
Nombre mostrado del usuario del contexto de seguridad |
|
actorId |
GUID de usuario desde el contexto de seguridad |
|
actorType |
El tipo de actor, ya sea Usuario o Cliente |
|
ssoSessionId |
Identificador de SSO en la nube |
|
ssoIdentityProvider |
Proveedor de Identidad SSO |
|
ssoAuthFactor |
Factor de autenticación utilizado para la autenticación |
|
ssoApplicationId |
GUID de identificador de aplicación |
|
ssoApplicationType |
Tipo de aplicación SSO: el tipo de aplicación indica si la aplicación es una aplicación OPC o NonOPC y si el tipo es SAML, OAuth o Relleno seguro de formulario basado en el protocolo. |
|
clientIp |
Dirección IP de la aplicación cliente que realiza la solicitud |
|
ssoUserAgent |
Información del dispositivo del usuario |
|
ssoPlatform |
Plataforma utilizada para realizar la autenticación |
|
ssoProtectedResource |
URI del recurso protegido (host, puerto y contexto del recurso) |
|
ssoMatchedSignOnPolicy |
Política de conexión coincidente, agregada a la versión 18.1.2 |
|
Mensaje |
Mensaje para éxito o fallo específico del evento |
|
Registro de hora |
Registro de hora de cuándo se produjo el evento |
Esquema de auditoría
Puede encontrar el esquema de auditoría mediante la API de REST de los dominios de identidad. El esquema de auditoría contiene toda la información tratada en las tablas de este caso de uso.
Solicitud de ejemplo
Realice una operación GET en el punto final /Schemas mediante el esquema AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventEjemplo de instantánea de respuesta
La siguiente es una instantánea de la respuesta.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},